Keamanan Jaringan CISCO dengan Studi Kasus PART VI

   , , , ,  No comments

4.3 Mengkonfigurasi Extended ACL pada router CORE

1. Berpindah ke mode global configuration

CORE# conf t

2.  Membuat Extended ACL untuk mengijinkan akses layanan FTP dari subnet SALES 172.16.1.0/26 ke Server Web Intranet 172.16.1.67 yang terdapat di subnet Server Farm

CORE(config)#access-list 150 permit tcp 172.16.1.0 0.0.0.63 172.16.1.67 0.0.0.0 range 20 21

3.    Membuat Extended ACL untuk mengijinkan akses layanan HTTP (tcp/80) dan HTTPS (tcp/443) dari subnet SALES 172.16.1.0/26,subnet KARYAWAN 172.16.0.0/25,dan subnet KEUANGAN 172.16.0.128/25 ke Server Web Intranet

172.16.1.67 yang terdapat di subnet Server Farm

CORE(config)#access-list 150 permit tcp 172.16.0.0 0.0.0.127 172.16.1.67 0.0.0.0 eq 80
CORE(config)#access-list 150 permit tcp 172.16.0.0 0.0.0.127 172.16.1.67 0.0.0.0 eq 443
CORE(config)#access-list 150 permit tcp 172.16.0.128 0.0.0.127 172.16.1.67 0.0.0.0 eq 80
CORE(config)#access-list 150 permit tcp 172.16.0.128 0.0.0.127 172.16.1.67 0.0.0.0 eq 443
CORE(config)#access-list 150 permit tcp 172.16.1.0 0.0.0.63 172.16.1.67 0.0.0.0 eq 443
CORE(config)#access-list 150 permit tcp 172.16.1.0 0.0.0.63 172.16.1.67 0.0.0.0 eq 80



4.  Membuat extended acl untuk mengijinkan protocol NTP,SYSLOG,dan TFTP yang ada pada subnet Server FARM dapat diakses oleh semua router kecuali Router GW yang ada pada jaringan internal PT. MA

CORE(config)#access-list 150 permit udp 172.16.1.130 0.0.0.0 172.16.1.66 0.0.0.0 eq 123
CORE(config)#access-list 150 permit udp 172.16.1.133 0.0.0.0 172.16.1.66 0.0.0.0 eq 123
CORE(config)#access-list 150 permit udp 172.16.1.130 0.0.0.0 172.16.1.66 0.0.0.0 eq 514
CORE(config)#access-list 150 permit udp 172.16.1.133 0.0.0.0 172.16.1.66 0.0.0.0 eq 514
CORE(config)#access-list 150 permit udp 172.16.1.130 0.0.0.0 172.16.1.66 0.0.0.0 eq 69
CORE(config)#access-list 150 permit udp 172.16.1.133 0.0.0.0 172.16.1.66 0.0.0.0 eq 69
CORE(config)#access-list 150 permit udp any 172.16.1.66 0.0.0.0 gt 1023

5.  Membuat Extended ACL untuk mengijinkan koneksi dari alamat IP sumber berapapun ke alamat subnet Server Farm 172.16.1.64/26 dengan port lebih besar (greater than - gt) dari 1023.

CORE(config)#access-list 150 permit tcp 0.0.0.0 255.255.255.255 172.16.1.64 0.0.0.63 gt 1023

6.   Membuat Extended ACL untuk mengijinkan balasan DNS query dari Server DNS 202.203.204.1 port 53 dengan tujuan ke alamat IP dari PC NetMon (Network Monitoring)

172.16.1.65.  Pada awalnya permintaan DNS query dikirimkan dari PC NetMon ke Server DNS sehingga akses Internet dengan nama domain dapat dilakukan.

CORE(config)#access-list 150 permit udp 202.203.204.1 0.0.0.0 eq 53 172.16.1.65 0.0.0.0

7.  Membuat Extended ACL untuk mengijinkan protokol ICMP yang digunakan oleh ping ketika verifikasi koneksi antar host dari alamat IP sumber berapapun ke alamat subnet dari subnet Server Farm yaitu 172.16.1.64/26.

CORE(config)#access-list 150 permit icmp 0.0.0.0 255.255.255.255 172.16.1.64 0.0.0.63

8.  Membuat VPN Server untuk mengamankan komunikasi antara Subnet KARYAWAN ataupun Subnet KEUANGAN menuju Subnet Server FARM, dengan VPN semua layanan yang ada pada Subnet Server FARM dapat diakses.


CORE(config)#aaa new-model
CORE(config)#aaa authentication login keamanan local
CORE(config)#aaa authorization network jaringan local
CORE(config)#username ahmad password ahmad
CORE(config)#crypto isakmp policy 10
CORE(config-isakmp)#encryption 3des
CORE(config-isakmp)#hash md5
CORE(config-isakmp)#authentication pre-share
CORE(config-isakmp)#group 2
CORE(config-isakmp)#ex


CORE(config)#ip local pool VPNPOOL 192.168.1.1 192.168.1.10
CORE(config)#crypto isakmp client configuration group skj
CORE(config-isakmp-group)#key cisco123
CORE(config-isakmp-group)#pool VPNPOOL
CORE(config-isakmp-group)#ex

CORE(config)#crypto ipsec transform-set set1 esp-3des esp-md5-hmac
CORE(config)#crypto dynamic-map map1 10
CORE(config-crypto-map)#set transform-set set1
CORE(config-crypto-map)#reverse-route

CORE(config)#crypto map map1 client configuration address respond
CORE(config)#crypto map map1 client authentication list keamanan
CORE(config)#crypto map map1 isakmp authorization list jaringan
CORE(config)#crypto map map1 10 ipsec-isakmp dynamic map1
CORE(config)#int fa0/0
CORE(config-if)#crypto map map1
CORE(config)#access-list 150 permit ip 192.168.1.0 0.0.0.255 172.16.1.64 0.0.0.63


9.Berpindah ke interface configuration

CORE(config)# int vlan 1

10. Menerapkan ACL yang telah dibuat

CORE(config-if)# ip access-group 150 out

Berpindah ke mode privilege

CORE(config-if)# end

11. Menampilkan informasi ACL yang terdapat pada router CORE
Terlihat ACL dengan nomor 150 telah terbuat

12.  Memverifikasi penerapan ACL pada interface vlan 1
13.  Memverifikasi akses FTP ke Server Web Intranet 172.16.1.67 menggunakan browser dari salah satu PC yang terdapat di subnet SALES sebagai contoh PC RANDI.

14.    Memverifikasi akses HTTP dan HTTPS ke Server Web Intranet 172.16.1.67 menggunakan browser dari salah satu PC yang terdapat di subnet KARYAWAN sebagai contoh Laptop1.

15.    Memverifikasi akses HTTP dan HTTPS ke Server Web Intranet 172.16.1.67 menggunakan browser dari salah satu PC yang terdapat di subnet KEUANGAN sebagai contoh PC AHMAD.

16.    Memverifikasi akses HTTP dan HTTPS ke Server Web Intranet 172.16.1.67 menggunakan browser dari salah satu PC yang terdapat di subnet SALES sebagai contoh
PC RANDI.

17.     Memverifikasi akses NTP ke Server TFTP,NTP & SYSLOG 172.16.1.66 menggunakan cli dari salah satu Router yang terdapat di jaringan internal PT.MA sebagai contoh Router R1.


18.    Memverifikasi akses SYSLOG ke Server TFTP,NTP & SYSLOG 172.16.1.66 menggunakan cli dari salah satu Router yang terdapat di jaringan internal PT.MA sebagai contoh Router R1.

19.     Memverifikasi akses TFTP ke Server TFTP,NTP & SYSLOG 172.16.1.66 menggunakan cli dari salah satu Router yang terdapat di jaringan internal PT.MA sebagai contoh Router R1.

20.  Memverifikasi akses VPN ke Subnet Server FARM 172.16.1.64/26 menggunakan cli dari salah satu Laptop yang terdapat di Subnet KARYAWAN sebagai contoh Laptop1.

 Untuk file Cisco nya bisa download disini











0 komentar:

Post a Comment

Informasi:
Form komentar ini menggunakan moderasi, setiap komentar yang masuk akan melalui proses pemeriksaan sebelum ditampilkan dalam kolom komentar.

Memasang link dan konten yang mengandung pornografi di komentar tidak akan di tampilkan. Hanya komentar yang membangun dan sesuai topik artikel saja yang akan kami tampilkan.

Mohon maaf atas ketidaknyamanannya.